Технический документ Patchstack: 582 проблемы безопасности WordPress, обнаруженные в 2020 году, более 96% – от сторонних расширений

Patchstack, который недавно был переименован в WebARX , выпустил свой технический документ по безопасности 2020 года . В отчете было выявлено 582 уязвимости в системе безопасности. Однако только 22 проблемы возникли из-за самого WordPress. Остальные 96,22% приходились на сторонние плагины и темы.

«Все эти проблемы безопасности раскрыты внутренней исследовательской группой Patchstack, сообществом Patchstack Red Team, сторонними поставщиками средств безопасности и другими независимыми исследователями безопасности», – сказал Оливер Силд, основатель и генеральный директор Patchstack. «Таким образом, он включает в себя всю общедоступную информацию об уязвимостях».

Patchstack – это компания, занимающаяся безопасностью, которая специализируется на сторонних расширениях для WordPress. Его база данных уязвимостей общедоступна и доступна для просмотра всем.

Во втором квартале 2020 года Patchstack опросил около 400 веб-разработчиков, фрилансеров и агентств на предмет веб-безопасности. «Более 70% ответили, что они все больше беспокоятся о безопасности своего веб-сайта, и главная причина -« уязвимости в сторонних плагинах »», – говорится в техническом документе. «Около 45% респондентов отметили рост атак на веб-сайты, которыми они управляли, а 25% столкнулись со взломанными веб-сайтами за месяц до участия в опросе».

На вершине рейтинга 211 обнаруженных уязвимостей были проблемами межсайтового скриптинга (XSS), что составляет 36,2% от общего числа.

«XSS в плагинах WordPress почти всегда происходит, потому что данные, вводимые пользователем, выводятся прямо на экран без какой-либо очистки», – сказал Силд. « esc_htmlБудет использоваться для преобразования определенных символов в их HTML-сущности, поэтому он будет буквально напечатан на экране. Тогда у вас также есть esc_attrпеременные для ввода пользователем, которые необходимо использовать в атрибутах HTML. OWASP (The Open Web Application Security Project) опубликовал много хороших ресурсов , таких как «Методы безопасного кодирования» ».

Второе место заняли инъекционные уязвимости с 70 уникальными случаями. За этим последовало 38 проблем с подделкой межсайтовых запросов (CSRF) и 29 случаев раскрытия конфиденциальных данных.

«Уязвимости, обнаруженные в плагинах и темах, обычно более серьезны, чем в ядре WordPress», – написал Силд в техническом документе. «Что еще хуже, так это то, что у многих популярных плагинов есть миллионы активных установок, и цифры не очень хороши, если мы посмотрим, сколько веб-сайтов затронуто уязвимыми плагинами».

Общее количество установленных активных и уязвимых тем и плагинов в течение года составило 70 миллионов. По данным WordCamp Central , WordPress установлен на 75 миллионах веб-сайтов. На многих сайтах, вероятно, было несколько уязвимых плагинов в течение 2020 года, а не 70 миллионов отдельных сайтов, находящихся под угрозой.

Patchstack исследовал 50 000 веб-сайтов и обнаружил, что они одновременно используют в среднем 23 активных плагина. Около четырех на каждом сайте были устаревшими, и было доступно обновление, что часто увеличивает риск возникновения проблем с безопасностью.

В отчете плагины WordPress выявили 478 уязвимостей. Однако уникальных тематических выпусков было всего 82. Хотя темы обычно гораздо более ограничены по объему, они могут делать все, что может делать плагин, за некоторыми исключениями.

Неудивительно, что для тем это число ниже. Однако следует задаться вопросом, повлияет ли на это текущий план по ослаблению рекомендаций по проверке каталогов тем WordPress.org в ближайшие год или два. В настоящее время рецензенты официального каталога проводят обширные проверки кода, которые могут с большей вероятностью выявить проблемы до того, как темы попадут в руки пользователей. Если компромисс – лучшая автоматизация, это также может означать более строгие стандарты кодирования и меньше проблем с безопасностью, которые могут пропустить рецензенты.

«Уязвимости стороннего кода остаются одной из самых серьезных угроз для веб-сайтов, построенных на WordPress», – заключил Силд в своем отчете. «Мы уже видим рост числа уникальных уязвимостей, о которых сообщается в плагинах и темах WordPress, по сравнению с 2020 годом и началом 2021 года».